Column NewDay: Cyber risk, het tackelen van een meerkoppige draak
Alex Klaassen, IT Risk organisatie NewDay
Hoe staat het eigenlijk écht met de 'cyberweerbaarheid' van het mkb in Nederland? Ik heb in 2021 diverse malen aangehaald dat er een reëel probleem is en dat voor het 'tackelen' van dit probleem vaak meer nodig is dan nu gebeurt of staat te gebeuren. Inmiddels is er echter een boek gepubliceerd met daarin diverse wetenschappelijke onderzoeken met betrekking tot cybersecurity in het mkb ("Van Theorie naar praktijk, de geleerde lessen van 4 jaar onderzoek naar cybersecurity in het MKB", De Haagse Hogeschool, Rutger Leukfeldt e.a.). Ik kan u het boek van harte aanbevelen, maar op deze plek wil ik graag enkele van de geleerde lessen in mijn eigen woorden met u delen.
-Eén op de vijf onderzochte bedrijven geeft aan het slachtoffer te zijn geweest waarbij zij schade hebben ondervonden.
-Er is een grote behoefte aan hulp en dan met name in de vorm van informatie en gratis tooling.
-Uit eerder onderzoek is naar voren gekomen dat mkb-bedrijven niet bekend zijn met het uitvoeren van risico-analyses. Doordat ze geen goed zicht hebben op het risico dat ze lopen, weten ze ook niet welke maatregelen ze zouden kunnen of moeten nemen.
-Ook het eigen personeel levert een cyberrisico op (bewuste en onbewuste handelingen).
-Het merendeel van de deelnemers bij een van de onderzoeken bleek feitelijk helemaal geen risicomodel te gebruiken. Een simpel te gebruiken risicomodel is daarom al een hele verbetering.
-Mkb'ers lijken zich zeer wel bewust van de cyberrisico's, maar onderschatten de kans dat zij zelf slachtoffer worden en de gevolgen daarvan.
-Ook is onderzocht hoe met mkb'ers gecommuniceerd zou moeten worden om de cyberweerbaarheid te vergroten. Een opmerkelijke daarbij voor mij was dat mkb'ers meer geneigd zijn zelfbeschermende maatregelen te nemen als dit vanuit hun (sociale) omgeving van hen wordt verwacht.
Lastige combinatie
Ruim twintig jaar ben ik inmiddels actief op het gebied van cybersecurity en aanpalende gebieden binnen het mkb. In deze periode heb ik gezien dat IT-risico's en mkb een vaak lastige combinatie zijn. Onderzoeken zoals hierboven zijn in ieder geval voor mij van groot belang. Ze geven mij meer inzicht in de vraag waarom wij binnen het mkb omgaan met het cyberrisico zoals we dat (in al haar nuances en verschillen) dagdagelijks doen. Ik leer bijvoorbeeld uit bovenstaande dat het bij herhaling benoemen van die risico's niet meer zo nodig is. Meer van belang is om uit te leggen met welke (soms simpele) maatregelen veel leed voorkomen kan worden. Ook de constatering dat 'mkb'ers' (als er al zo iemand bestaat) blijkbaar gevoelig zijn voor de sociale verwachting, is voor mij een eyeopener. Wellicht dat meer gerichte communicatie van simpele maatregelen op een bredere groep dan deze mkb'er een volgende stap zijn in het 'tackelen' van de meerkoppige draak die cyberrisico heet.
Wellicht dat ik hier in mijn toekomstige publicaties ook een bijdrage aan kan leveren. Voor nu houden mijn columns in het Noord-Limburg Business magazine echter op. Ik wil u als lezer graag bedanken voor uw interesse en hoop dat wij elkaar eens mogen treffen bij het 'tackelen van deze meerkoppige draak'!